Connect with us

Technologie

Microsoft 365 interdit dans les écoles allemandes pour des raisons de confidentialité

Published

on


Les autorités fédérales allemandes de protection des données ont interdit l’utilisation de Microsoft Office 365 dans les écoles en raison de problèmes de confidentialité liés à l’utilisation de fournisseurs de cloud américains.

La Conférence allemande sur la protection des données (DSK) – qui se compose de l’Autorité fédérale allemande de protection des données et de 16 régulateurs d’État – a déclaré que, compte tenu du manque de transparence sur la façon dont Microsoft collecte et traite les données personnelles, ainsi que du potentiel d’accès de tiers à celles-ci, l’utilisation d’O365 n’est pas juridiquement conforme au Règlement général sur la protection des données (RGPD).

« Microsoft ne divulgue pas en détail quelles opérations de traitement ont lieu. En outre, Microsoft ne divulgue pas entièrement quelles opérations de traitement sont effectuées pour le compte du client ou lesquelles sont effectuées à ses propres fins », a déclaré un rapport du groupe de travail DSK sur la question.

« Les documents contractuels ne sont pas précis à cet égard et ne permettent pas une évaluation concluante du traitement, qui peut même être étendu, y compris pour les besoins propres de l’entreprise », poursuit le rapport.

« L’utilisation des données personnelles des utilisateurs (par exemple. employés ou étudiants) pour les besoins propres du fournisseur exclut le recours à un sous-traitant dans le secteur public (en particulier dans les écoles).

Cela signifie essentiellement que, en raison du manque de transparence, il est impossible pour les régulateurs d’évaluer de l’extérieur exactement quelles informations Microsoft collecte et comment elle utilise ces données, ce qui rend leur utilisation illégale en vertu du RGPD.

Le rapport ajoute que les discussions du groupe de travail avec Microsoft ont confirmé que les données personnelles seraient toujours transférées aux États-Unis lorsque O365 est utilisé, affirmant qu’il n’était « pas possible d’utiliser Microsoft 365 sans transférer des données personnelles aux États-Unis ».

En juillet 2020, la Cour de justice de l’Union européenne (CJUE) a annulé l’accord de partage de données entre l’UE et les États-Unis sur le bouclier de protection des données, qui, selon la Cour, ne garantissait pas aux citoyens européens un droit de recours adéquat lorsque des données sont collectées par la National Security Agency (NSA) des États-Unis et d’autres services de renseignement américains.

La décision, familièrement connue sous le nom de Schrems II du nom de l’avocat autrichien qui a porté l’affaire devant la CJUE, a également jeté le doute sur la légalité de l’utilisation de clauses contractuelles types (CCT) comme base pour les transferts internationaux de données, estimant que bien que celles-ci soient juridiquement valides, les entreprises avaient toujours la responsabilité de veiller à ce que ceux avec qui elles partageaient les données bénéficient d’une protection de la vie privée équivalente à celle prévue par le droit de l’Union européenne (UE).

Problèmes de longue date

Le groupe de travail DSK étudie activement comment améliorer O365 pour assurer la conformité aux normes européennes de protection des données depuis deux ans, après que Microsoft a abandonné son offre de cloud allemand en août 2018 et que les régulateurs de l’État ont commencé à signaler des problèmes avec le service.

En juillet 2019, par exemple, le commissaire de Hesse à la protection des données et à la liberté d’information a souligné les problèmes liés à O365, en particulier le fait que l’utilisation d’un fournisseur de cloud américain permettrait aux autorités américaines d’accéder aux données stockées dans un cloud européen, et que de nombreuses données de télémétrie étaient collectées et transférées sans journalisation suffisante de l’activité.

Le commissaire de Hesse a donc interdit l’utilisation de l’O365 dans les écoles du Land allemand de Hesse et a noté à l’époque que « ce qui est vrai pour Microsoft l’est également pour les solutions cloud de Google et d’Apple ».

« Jusqu’à présent, les solutions cloud de ces fournisseurs n’ont pas été transparentes et définies de manière compréhensible. Par conséquent, il est également vrai que pour les écoles, l’utilisation respectueuse de la vie privée n’est actuellement pas possible », a ajouté le commissaire.

Bien que Microsoft ait convenu avec le groupe de travail d’apporter un certain nombre de modifications à ses systèmes, y compris l’adoption de certaines des CCT de la Commission européenne et la présentation plus détaillée de la manière dont elle traite les données, les modifications ont été jugées insuffisantes par la DSK. Ces modifications ont été détaillées dans une version mise à jour du Addendum sur la protection des données des produits et services.

Faisant référence au rapport du groupe de travail dans une déclaration distincte, le DSK a déclaré: « La preuve que les contrôleurs de données utilisent Microsoft 365 conformément à la loi sur la protection des données ne peut pas être fournie sur la base de l’addendum sur la protection des données du 15 septembre 2022 fourni par Microsoft.

« En particulier, tant que la transparence nécessaire sur le traitement des données à caractère personnel provenant d’un traitement commandé pour les besoins propres de Microsoft n’est pas établie et que sa licéité n’est pas prouvée, cette preuve ne peut être fournie. »

Microsoft répond

Microsoft soutient toutefois qu’il est toujours possible pour les écoles allemandes d’utiliser O365 d’une manière conforme à la loi et que ses produits « non seulement respectent, mais dépassent souvent, les lois strictes de l’UE en matière de protection des données ».

Il a déclaré que les préoccupations de DSK ne tiennent pas suffisamment compte des changements que la société a déjà apportés à ses systèmes et découlent de « plusieurs malentendus » sur le fonctionnement de ses services.

« Nous avons travaillé en étroite collaboration avec le DSK tout au long du processus d’examen et avons répondu aux préoccupations soulevées par plusieurs changements radicaux », a déclaré Microsoft. « À titre d’exemple, citons une procédure de notification améliorée pour les changements de sous-traitants ultérieurs et des clarifications supplémentaires concernant le traitement des données personnelles par Microsoft pour les activités commerciales de Microsoft suscitées par la fourniture des services aux clients. Microsoft a pleinement coopéré avec le DSK et, bien que nous ne soyons pas d’accord avec l’évaluation du DSK, nous aimerions répondre à toutes les préoccupations restantes.

« Nous prenons à cœur la demande de DSK pour plus de transparence. Bien que nos normes de transparence dépassent déjà celles de la plupart des autres fournisseurs de notre secteur, nous nous engageons à nous améliorer encore. En particulier, dans le cadre de notre projet de frontière européenne en matière de données, nous fournirons une documentation supplémentaire sur les flux de données de nos clients et les finalités du traitement dans un souci de transparence. Nous fournirons également plus de transparence sur les emplacements et le traitement par les sous-traitants et les employés de Microsoft en dehors de l’UE. »

Il a ajouté: « Dans l’intérêt d’une plus grande transparence, nous apprécierions que le rapport complet soit publié avec les réponses détaillées et les commentaires soumis au DSK de Microsoft, mais avec une expurgation appropriée. »

Alors que Microsoft s’était engagé à créer une frontière européenne des données d’ici la fin de 2022, les experts en protection des données ont déjà critiqué cette décision comme un aveu tacite que les données sont systématiquement traitées en dehors du bloc, affirmant qu’il n’y a aucun moyen réalisable d’empêcher le transfert des données des citoyens européens à l’étranger vers les États-Unis où les normes de protection sont inférieures.

Dans sa réponse au DSK, Microsoft a déclaré que la frontière de données « réduirait considérablement le flux de données de l’UE vers d’autres pays… [enabling] les clients du secteur public et des entreprises dans l’UE et dans l’ensemble de l’Association européenne de libre-échange pour traiter et stocker les données des clients dans la région ».

Suite à la publication du rapport du groupe de travail, le commissaire fédéral à la protection des données, Ulrich Kelber, a déclaré que si Microsoft avait fait des « progrès sur des points individuels », les autorités de protection des données « devraient examiner [at] des cas individuels pour voir si le respect de la protection des données peut encore être atteint ».

Kelber a ajouté qu’il doutait que l’O365 puisse « simplement être utilisé sur un ordinateur sans mesures de protection supplémentaires ».

Commentant les conclusions de la DSK, Matthias Pfau, fondateur du service de messagerie cryptée Tutanota, a déclaré qu’il était « incroyable » que les services cloud basés aux États-Unis continuent de piétiner les droits européens sur les données plus de quatre ans après l’introduction du RGPD en mai 2018.

« De toute évidence, les grandes entreprises américaines supportent toutes les plaintes et les pénalités parce que le modèle économique – « utilisez mon service et j’utiliserai vos données » – est extrêmement lucratif pour elles. Au lieu de compter sur la coopération volontaire, il faut en tirer des conséquences beaucoup plus dures; par exemple, en utilisant des systèmes complètement différents », a-t-il déclaré.

« Linux avec Open Office est une très bonne alternative vers laquelle les écoles et les autorités devraient passer immédiatement. Tant que les écoles et les autorités continueront à utiliser Microsoft – bien qu’installé localement – Microsoft ne voit évidemment aucune raison de respecter les règles européennes en matière de protection des données.



Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance